Schadsoftware im Überblick
Oft hört man “Ich habe keine Schadsoftware auf meinem Rechner,
dass würde ich doch merken!”, ein Spruch, der vielleicht vor 25
Jahren gültig war, heute aber schon lange nicht mehr gilt. Es gibt
viele Arten von Schadsoftware, und Sie erkennen davon nur die, deren
Autoren es so wollen. Die meisten Schädlinge arbeiten heimlich, still
und unbemerkt im Hintergrund und fallen erst auf, wenn es für Sie zu
spät ist.
Scareware und Ransomware – die “laute” Schadsoftware
Die einzige Schadsoftware, die sich immer bemerkbar macht, gehört zur
Kategorie der
Scareware
oder
Ransomware.
Während die Scareware Sie meist zum Kauf unnötiger und
wirkungsloser Fake-Virenscanner verleiten soll, erpresst die Ransomware von
Ihnen Geld zur Freigabe zuvor von ihr verschlüsselter Dateien oder
gesperrter Systeme. Die Schädlinge müssen sich bemerkbar machen,
damit Sie in ihrem Sinne aktiv werden können. Alle anderen
Schädlinge haben aber i.A. kein Interesse daran, von Ihnen bemerkt zu
werden.
Spyware – Auffällige Vertreter haben sofort verloren
Schon
Spyware
ist zwingend darauf angewiesen, nicht entdeckt zu werden. Wie sollte sie
den Benutzer ausspähen, wenn der von ihrer Anwesenheit
wüsste? Oder haben Sie schon mal von einem Spion gehört,
der überall sofort erkannt wird? Nein, “James Bond” ist
keine richtige Antwort. Ein ähnlich bekannter Geheimagent würde
im echten Leben ziemlich schnell zum Akten stapeln in den Keller versetzt.
Viren – früher laut, heute leise
Die Fehleinschätzung “Schadsoftware bemerkt man” geht vermutlich
auf die ersten
Viren
zurück. Exemplare wie z.B. der
Cascade-Virus
machten sich mit Absicht bemerkbar. Cascade z.B. sorgte zwischen dem 1.
Oktober und 31. Dezember 1988 dafür, das nach dem Start eines
infizierten Programms die Buchstaben vom Bildschirm purzelten und sich am
unteren Bildschirmrand auftürmten
(Video
davon).
So einen Schädling erkennt man natürlich, ebenso wie die ersten
Viren mit echter Schadfunktion, die z.B. Dateien löschten. Aber wenn
man die erkannte, war es schon zu spät und der Schaden eingetreten.
Das gleiche gilt für die Viren der
nächsten Generation,
die im Rahmen des Wettlaufs zwischen Viren- und Anti-Viren-Autoren
entstanden. Auch die fielen durch ihre ausgeführte Schadfunktion auf,
aber eben auch erst, wenn es zu spät war. Die
aktuellen Viren
fallen meist erst auf, wenn man nach ihnen sucht. Ansonsten verrichten sie
heimlich, still und leise ihre bösartigen Aufgaben.
Würmer – früher auffällig, heute unauffällig
Auch bei den
Würmern
hat sich die “Sichtbarkeit” im Laufe der Zeit geändert, genauer: An ihre
geänderten Aufgaben angepasst. Die
ersten Würmer
hatten nur einen Aufgabe: Sich selbst zu verbreiten. Dabei fielen sie
meist durch ihre Nebenwirkungen auf, Schadfunktionen gab es noch nicht.
Schon die ersten
Würmer mit Schadfunktion
fielen meist erst auf, wenn es zu spät war und die Schadfunktion
bereits ihre Aufgabe erfüllt hatte. Und je gefährlicher die
Schadfunktion, desto versteckter die Würmer, eine Hintertür ist
eben nur so lange nützlich, wie sie vom Opfer nicht bemerkt wird.
Ebenso heimlich agierte die
nächste Generation
der
Würmer,
erst wenn die Schadfunktion aktiv wurde, machte der Wurm sich bemerkbar.
Würmer im Web
durchliefen die gleiche Entwicklung wie ihre Kollegen im Netz und E-Mails:
Die ersten Exemplare gaben noch Meldungen auf den infizierten Seiten aus,
aber schon der Webmail-Wurm Yamanner agierte (auch) heimlich und sammelte
Daten.
Bei der
nächsten Generation
nahm die Gefährlichkeit der Schadfunktionen weiter zu, entsprechend gross
war das Interesse, möglichst nicht entdeckt zu werden. Besonders gut ist
das an
Conficker und Stuxnet
zu sehen: Beide legen Wert auf Tarnung, um möglichst lange ungestört
Schaden anrichten zu können.
Etwas anders sieht es bei
Smartphone-Würmern
aus: Die sind teilweise auf die Mitarbeit der Opfer angewiesen, die
Bluetooth-Verbindungen zustimmen oder den Wurm starten müssen.
Entsprechend fallen sie einem informierten Benutzer also auf, der sie dann
auch gleich stoppen kann. Der erste iPhone-Wurm konnte sich schon ohne
Hilfe verbreiten, tauschte aber auffällig das Wallpaper aus. Aber
schon die nächsten iPhone- und Android-Würmer arbeiteten ebenso
versteckt wie ihre aktuellen Kollegen für Desktop-Rechner und Server.
Trojaner – Heimliche Mitreisende verraten sich selten
Auch
Trojaner
legen Wert auf Heimlichkeit. Sie ist sogar ihre Existenzgrundlage: Kaum
jemand würde absichtlich Schadsoftware starten, nur durch die Tarnung
als nützliches Programm erreichen diese Schädlinge also ihr Ziel.
Dass ein
Trojaner
installiert wurde, bemerkt das Opfer meist erst, wenn die Schadfunktion
aktiv geworden und es für eine Reaktion zu spät ist. Und
manchmal fällt der Trojaner selbst gar nicht auf, z.B. wenn ein
“Trojan Downloader” Schadcode nachlädt und sich danach selbst beendet.
Wird später die nachgeladene Schadsoftware erkannt, fehlt vom Trojaner
oft jede Spur.
Zeus – Erst wenn das Geld weg ist, fliegt er auf
Ein gutes Beispiel für einen schädlichen Trojaner ist
Zeus.
Dieser Schädlingsbaukasten bzw. diese Schädlingsfamilie wird auch
auf anderen Wegen verteilt,
einmal installiert
verhält sich Zeus aber immer betont unauffällig und tut alles, um
nicht enttarnt zu werden. Nur so kann er seine Hauptaufgabe, das
Ausspähen sensitiver Informationen wie z.B. Zugangsdaten zum
Onlinebanking, erfüllen. Erst wenn Geld vom Konto verschwunden ist
und der Rechner auf Schadsoftware untersucht wird, fällt der
Schädling auf. Übrigens ist auch ein installierter Virenscanner
keine Garantie dafür, dass jede Schadsoftware erkannt wird. Die
Erkennungsrate für den im Internet aufgetauchten
Zeus-Sourcecode
war z.B. anfangs ziemlich schlecht. Und bei der
Mobil-Variante
sieht es nicht unbedingt besser aus.
Exploit-Kits – Tarnung ist das halbe Leben
Auch
Exploit-Kits
legen Wert auf Tarnung, jedenfalls für den auf harmlosen Websites
eingeschleusten Teil des Codes. Damit der möglichst lange
Drive-by-Infektionen
verbreiten kann, wird er aufwändig getarnt. So ist es z.B. nicht
ungewöhnlich, wenn der Schadcode nur dann ausgegeben wird, wenn die
Besucher der Seite von einer Suchmaschine kommen. Wird die Seite z.B. aus
den Bookmarks eines Webbrowsers aufgerufen, wird sie unverändert
ausgegeben, so dass regelmäßige Besucher keinerlei
Änderungen bemerken. Die
Veröffentlichung
vieler Exploit-Kits im Internet dürfte auch in dieser Hinsicht kaum neue
Erkenntnisse liefern, da der entsprechende Schadcode ja sowieso auf den
für die Drive-by-Infektionen präparierten Websites gefunden und
analysiert werden kann.
Rootkits – Entwickelt, um versteckt zu werden
Rootkits
existieren nur zu einem einzigen Zweck: Nicht entdeckt zu werden. Wenn Sie
also ein Rootkit auf Ihrem Rechner bemerken, ist (aus Sicht der
Cyberkriminellen) irgend etwas
schief gelaufen.
Schließlich sollen die Rootkits ja möglichst nicht einmal vom
Virenscanner entdeckt werden, ein Vorfall wie der vom Bootkit Alureon
ausgelöste Blue Screen of Death nach der Installation der Patches zum
Security Bulletin MS10-015 sind daher eine seltene Ausnahme. Zwar sind
Rootkits weder unauffindbar noch
unzerstörbar,
aber sie sind die am besten versteckte Schadsoftware. Und
virtualisierende
Rootkits
gehen dabei noch einen Schritt weiter, indem sie das angegriffene System
in einer virtuelle Maschine verschieben und sich damit außerhalb der
Sichtweite der darauf laufenden Programme, insbesondere natürlich alle
Arten von Schutzprogrammen, verbergen. Das gleiche gilt für
Rootkits in der Hardware,
auch die lässt sich aus dem infizierten System heraus nur schwer
erkennen. Wenn die sich bemerkbar macht, dann nur auf Grund eines Fehlers
– sonst würde sie ja den eigenen Zweck ad absurdum führen. Und
das gilt natürlich auch für
Smartphone-Rootkits.
Remote Administration Toolkits – versteckte RATten
Auch
Remote Administration Toolkits
machen sich selten von selbst bemerkbar, jedenfalls in den schädlichen
Varianten. Ebenso wie Spyware können sie ihre Aufgabe nur
erfüllen, wenn sie nicht erkannt werden. Oder würden Sie eine
solche Hintertür offen lassen, wenn Sie sie erst mal bemerkt haben?
Botnets – Der Balken im Auge
Bei den
Botnets
müssen Sie zwei Probleme unterscheiden: Das Vorhandensein allgemein
bemerken Sie z.B. an den regelmäßigen Spam-Wellen. Auch den
Erfolg oder Misserfolg von
Aktionen gegen die Botnets
können Sie beobachten. Schadsoftware, die Ihren Rechner in ein Botnet
integriert, sorgt aber i.A. dafür, dass Sie davon nichts merken.
Schließlich soll der Rechner ja möglichst lange im Botnet
bleiben, und einmal entdeckte Schadsoftware wird meist schnell
gelöscht.
Infektionen verhindern oder beseitigen
Nach Möglichkeit sollte man
Infektionen
mit Schadsoftware vermeiden, indem man sein System absichert und
möglichen Gefahren aus dem Weg geht. Das ist natürlich nicht
immer möglich, so dass ein Virenscanner das Schlimmste verhindern
soll. Aber der kann nicht jede Infektion verhindern und stellt streng
genommen so wie jedes zusätzlich installierte Programm ein
mögliches weiteres Einfallstor dar.
Ist die Schadsoftware erst mal installiert, können Sie nur noch hoffen,
dass Sie sie erkennen und entfernen können, bevor ein Schaden eintritt.
Während die Entfernung durch Virenscanner oder spezielle Tools bei
Scareware, Ransomware und Spyware
meist noch relativ einfach möglich ist, lassen sich manche
Viren, Würmer, Trojaner und Rootkits
nur schwer oder auch gar nicht restlos beseitigen.
Insbesondere bei Rootkits sollten Sie im Zweifelsfall das System neu
installieren. Denken Sie daran: Das Rootkit wurde entwickelt, um
möglichst gar nicht erst entdeckt zu werden und nach einer Entdeckung
der Löschung möglichst lange zu widerstehen. Selbst wenn der
Virenscanner oder das spezielle Anti-Rootkit-Tool ein gesäubertes
System melden könnten Reste des Rootkits die Säuberung
überstanden haben. Niemand wird Ihnen garantieren, dass das System
nach dem Entfernen des Rootkits wirklich völlig Schadsoftwarefrei ist.
Eigentlich läuft das ganze auf eine einzige Frage hinaus: Welcher
Entwickler war besser – der des Rootkits oder der des Virenscanners bzw.
Anti-Rootkit-Tools?
Hiermit ist das Thema “Schadsoftware” zumindest vorerst abgeschlossen. Die
Cyberkriminellen werden schon dafür sorgen, dass es irgendwann eine
Fortsetzung gibt. In der nächsten Folge geht es wie
angekündigt
um eine neue Bedrohung im Web: Das Cookiejacking.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware – Der Spion in Ihrem Computer
- Viren
- Würmer
-
- Würmer – Schadsoftware, die sich selbst verbreitet
- Schadsoftware – Die Entwicklung der Würmer
- 1999 – Die Ausbreitung der Würmer beginnt
- 2003 – Würmer ohne Ende
- 2004 – Mehr Würmer, mehr Ziele, mehr Opfer
- 2004 – Der Aufbruch der Würmer ins Web
- 2007 – Würmer im Sturm und in Facebook
- Conficker, Stuxnet, “Here you have” – die aktuellen Würmer
- Smarte Telefone, mehr oder weniger smarte Würmer
- Trojaner
- Zeus
- Exploit-Kits
- Rootkits
-
- Rootkits – Schadsoftware im System
- Rootkits gegen Festplattenverschlüsselung und für BSoD
- TDL4 – Gefährliches Botnet oder nur eine neue Sau im digitalen Dorf?
- SubVirt und Blue Pill – Rootkits mit Virtualisierung
- Rootkits für Xen und SMM
- Rootkits (fast) in der Hardware
- Rootkits für Smartphones und Mac OS X
- Remote Administration Toolkits – Fernwartung in der Grauzone
- Botnets
- Gegenmaßnahmen
- Schadsoftware im Überblick
Trackbacks
Keine Trackbacks
Kommentar schreiben
Kommentare
Ansicht der Kommentare:
Linear | Verschachtelt